Привилегированный доступ: стратегия

Корпорация Майкрософт рекомендует использовать эту стратегию привилегированного доступа, чтобы быстро снизить в организации риски, связанные со значительным влиянием и высокой вероятностью атак на привилегированный доступ.

Привилегированный доступ должен быть главным приоритетом безопасности в каждой организации. Любой компромисс этих пользователей имеет высокую вероятность значительного негативного влияния на организацию. Привилегированные пользователи имеют доступ к критически важным для бизнеса ресурсам в организации, что практически всегда приводит к существенному ущербу от взлома их учетных записей злоумышленниками.

Эта стратегия основана на принципах "Никому не доверяй", заключающихся в явной проверке, минимальных привилегиях и предположении нарушения безопасности. Корпорация Майкрософт предоставила руководство по реализации, помогающее быстро развернуть защиту на основе этой стратегии.

Важно!

Нет ни одного идеального технического решения, которое волшебным образом снизит риск привилегированного доступа. Поэтому необходимо объединить несколько технологий в целостное решение, которое защищает от нескольких точек входа злоумышленника. Организации должны применять соответствующие инструменты для каждой части этого задания.

Почему важен привилегированный доступ?

Безопасность привилегированного доступа критически важна, так как она является основой для всех других гарантий безопасности. Злоумышленник, управляющий привилегированными учетными записями, может нарушить все остальные гарантии безопасности. С точки зрения риска потеря привилегированного доступа — это оказывающее большое влияние событие с высокой вероятностью, которая растет с пугающей скоростью в различных отраслях.

Эти методики изначально использовались при целенаправленных атаках для кражи данных, что привело к большому числу резонансных нарушений в системе безопасности известных торговых марок (и многим незамеченных инцидентам). В последнее время эти методики были реализованы злоумышленниками, которые применяют программы-шантажисты, что породило целую волну очень выгодных атак с помощью программ-шантажистов под управлением оператора, которые намеренно нарушают бизнес-операции в отрасли.

На этом рисунке показано, как растет влияние и вероятность атаки с использованием привилегированного доступа.

PLACEHOLDER

  • Высокий уровень влияния на бизнес
    • Трудно преувеличить потенциальное влияние на бизнес и ущерб от потери привилегированного доступа. Злоумышленник с привилегированным доступом фактически имеет полный контроль над всеми корпоративными ресурсами и средствами, что дает ему возможность раскрыть любые конфиденциальные данные, остановить все бизнес-процессы или переработать бизнес-процессы и компьютеры для повреждения собственности, причинения вреда людям или чего-то похуже. Массовый бизнес-эффект был замечен во всех отраслях с:
      • Целенаправленная кража данных. Злоумышленники используют привилегированный доступ для получения доступа и кражи конфиденциальной интеллектуальной собственности для собственного использования или продажи либо передачи вашим конкурентам или правительствам других стран.
      • Программа-шантажист под управлением оператора (HumOR). Злоумышленник использует привилегированный доступ для кражи и (или) шифрования всех данных и систем на предприятии, что часто приводит к остановке всех бизнес-операций. Затем он вымогает деньги у этой организации за неразглашение данных и (или) предоставление ключей для их разблокирования.
  • Высокая вероятность возникновения
    • Преобладание атак на привилегированный доступ выросло с появлением новых атак, направленных на кражу учетных данных, которые начались с атак Pass-the-hash. Эти методики впервые стали популярны среди преступников в 2008 году, после выпуска инструмента для атаки Pass-The-Hash Toolkit. С тех пор они эволюционировали в набор надежных методов атаки (разработанных в основном на базе набора средств Mimikatz). Это оснащение и автоматизация методик позволила атакам (и их последствиям) очень быстро увеличиваться в масштабе, ограничиваясь только уязвимостью целевой организации к атакам и моделями монетизации или вознаграждения злоумышленников.
      • До появления программ-шантажистов, управляемых человеком (HumOR), эти атаки были распространены, но часто невидимы или неправильно поняты из-за:
        • Ограничения монетизации для злоумышленников. Только группы и лица, которые знали, как монетизировать конфиденциальную интеллектуальную собственность целевых организаций, могли бы получить выгоду от этих атак.
        • Неочевидное влияние. Организации часто не замечали эти атаки, так как они не обладали средствами обнаружения, а также им было сложно выявить и оценить итоговое воздействие на бизнес (например, как их конкуренты использовали украденную интеллектуальную собственность и как это повлияло на цены и рынки, иногда на годы вперед). Кроме того, организации, которые выявляли эти атаки, часто молчали о них, чтобы защитить свою репутацию.
      • И безмолвное влияние, и ограничения монетизации злоумышленников на эти атаки распадаются с появлением программы-шантажистов, которая растет в объеме, влиянии и осведомленности, потому что это и то, и другое:
        • резонансные и разрушительные для бизнес-процессов, за которые вымогается выкуп;
        • универсальны — каждая организация в любой отрасли финансово заинтересована в продолжении операций без перерывов.

По этим причинам привилегированный доступ должен быть высшим приоритетом для системы безопасности в любой организации.

Создание стратегии привилегированного доступа

Стратегия привилегированного доступа — это процесс, который должен состоять из краткосрочных результатов и поэтапного выполнения. Каждый шаг в стратегии привилегированного доступа должен "запечатывать" уязвимости для постоянных и гибких атак злоумышленников на привилегированный доступ, которые подобны воде, пытающейся просочиться в вашу среду через любую доступную брешь.

Это руководство предназначено для всех корпоративных организаций, независимо от текущего состояния разработки данной стратегии.

Целостная практическая стратегия

Для снижения риска от привилегированного доступа требуется продуманное, целостное и упорядоченное решение для устранения рисков, включающее в себя несколько технологий.

Для создания этой стратегии необходимо признать, что злоумышленники подобны воде, так как у них множество возможностей, которые они могут использовать (некоторые из которых могут быть на первый взгляд незначительными), и злоумышленники весьма гибки в выборе этих возможностей, а для достижения своих целей, как правило, используют путь наименьшего сопротивления.

Attackers are like water and can appear insignificant at first but, flood over time

Способы, которым злоумышленники отдают предпочтение на практике, являются сочетанием:

  • традиционных методов (часто автоматизированных в инструментах взлома);
  • новых методов, которые проще использовать.

В связи с разнообразием применяемых технологий требуется полная стратегия, объединяющая несколько технологий и соответствующая принципам "Никому не доверяй".

Важно!

Для защиты от описанных выше атак необходимо внедрить стратегию, включающую в себя несколько технологий. Простое внедрение решения для управления привилегированными пользователями и привилегированным доступом (PIM/PAM) недостаточно. Дополнительные сведения см. в разделе Защита привилегированного доступа: посредники.

  • Злоумышленники ориентированы на цель и не зависят от технологий. Они используют атаку любого типа, которая работает.
  • Защищаемая основа управления доступом интегрирована в большинство или во все системы в корпоративной среде.

Надежда на выявление и предотвращение этих угроз с помощью только элементов управления сетью или одного решения привилегированного доступа оставит вашу организацию уязвимой для многих других типов атак.

Стратегическое допущение: облако является источником безопасности

В качестве основного источника функций безопасности и управления эта стратегия использует облачные службы, а не локальные методы изоляции, по нескольким причинам:

  • Возможности облака эффективнее. Наиболее эффективные возможности обеспечения безопасности и управления, доступные на сегодняшний день, реализованы в облачных службах, включая сложные инструменты, интеграцию платформенной функциональности и большой объем разведывательных данных безопасности, например 8 триллионов сигналов систем безопасности в день, которые корпорация Майкрософт использует для работы наших средств обеспечения безопасности.
  • Облако проще и быстрее. Внедрение и масштабирование облачных служб требует незначительной инфраструктуры или вообще обходится без нее. Это позволяет вашим командам сосредоточиться на безопасности, а не на интеграции технологий.
  • Облаку требуется меньше обслуживания. Облако также управляется, обслуживается и защищается согласованными действиями организации поставщика, в которой существуют специальные команды для выполнения этих задач для тысяч организаций клиентов. Это сокращает время и усилия вашей команды, затрачиваемые на неукоснительное поддержание возможностей.
  • Облачные службы постоянно улучшаются. Компоненты и функциональные возможности облачных служб все время обновляются, не требуя от организации постоянных вложений.

Рекомендуемая корпорацией Майкрософт стратегия — постепенное создание системы "закрытого цикла" для привилегированного доступа, которая гарантирует, что для привилегированного доступа к критическим бизнес-системам могут использоваться только надежные устройства, учетные записи и промежуточные системы.

Как и при герметизации чего-то сложного в реальной жизни, например лодки, необходимо разработать эту стратегию с намеренным результатом, установить и соблюдать стандарты и постоянно отслеживать и проверять результаты, чтобы устранять утечки. Нельзя просто сколотить части лодки и ожидать, что она волшебным образом окажется водонепроницаемой. Сначала необходимо сосредоточиться на создании и герметизации таких важных элементов, как корпус и критические детали (двигатель и рулевые механизмы), сохранив возможность доступа к ним для людей, а затем следует загерметизировать элементы, обеспечивающие комфорт: радио, сиденья и так далее. Кроме того, вы постоянно будете ее обслуживать, так как даже самая идеальная система может дать течь. Поэтому необходимо следить за утечками и устранять их, чтобы лодка не утонула.

Защита привилегированного доступа имеет две простые цели:

  1. строгое ограничение способности выполнения привилегированных действий несколькими разрешенными путями;
  2. защита и внимательное отслеживание этих путей.

Существуют два типа доступа к системам: доступ пользователей (для использования возможности) и привилегированный доступ (для управления возможностью или доступа к конфиденциальной возможности).

Two pathways to systems user and privileged access

  • Доступ пользователей. Светло-синий путь в нижней части диаграммы показывает стандартную учетную запись пользователя, выполняющую общие офисные задачи, такие как обмен электронной почтой, совместная работа, просмотр веб-страниц и использование бизнес-приложений или веб-сайтов. Этот путь включает в себя вход учетной записи на устройство или рабочие станции, иногда через посредник, например решение для удаленного доступа, и взаимодействие с корпоративными системами.
  • Привилегированный доступ. Темно-синий путь в верхней части диаграммы обозначает привилегированный доступ, при котором привилегированные учетные записи, такие как ИТ-администраторы или другие конфиденциальные учетные записи, получают доступ к критически важным для бизнеса системам и данным или выполняют задачи администрирования в корпоративных системах. Хотя технические компоненты могут быть похожи по сути, потенциальный ущерб от злоумышленника, обладающего привилегированным доступом, намного выше.

Система управления полным доступом также включает в себя системы идентификации и авторизованные пути повышения привилегий.

Two pathways plus identity systems and elevation paths

  • Системы идентификации. Обеспечивают каталоги удостоверений, в которых размещаются учетные записи и административные группы. Кроме того, предоставляют возможности синхронизации и федерации, а также другие функции поддержки идентификации для обычных и привилегированных пользователей.
  • Авторизованные пути повышения привилегий. Дают возможность обычным пользователям взаимодействовать с привилегированными рабочими процессами. Например, руководители или коллеги могут утвердить запросы на права администратора для конфиденциальной системы с помощью JIT-процесса в системе управления привилегированным доступом и привилегированными пользователями.

Приведенные ниже компоненты представляют собой направления атак на привилегированный доступ, которые может использовать злоумышленник, чтобы попытаться получить повышенный уровень доступа к вашей организации.

Attack surface unprotected

Примечание.

Для локальных систем и систем IaaS, размещенных в управляемой клиентом операционной системе, направления атак значительно расширяются из-за агентов управления и безопасности, учетных записей служб и потенциальных проблем с конфигурацией.

Для создания устойчивой и управляемой стратегии привилегированного доступа необходимо закрыть все неавторизованные векторы, чтобы создать виртуальный эквивалент консоли управления, физически подключенный к безопасной системе, которая представляет собой единственный способ доступа к ней.

Для этой стратегии требуется сочетание следующих компонентов:

  • управление доступом по принципу "Никому не доверяй", описанному в этом руководстве, включая план быстрой модернизации (RAMP);
  • безопасность ресурсов для защиты от прямых атак на ресурсы за счет применения эффективных методов гигиены безопасности для соответствующих систем. Обеспечение безопасности ресурсов (помимо компонентов управления доступом) выходит за рамки данного руководства, но обычно включает в себя быструю установку обновлений и исправлений для системы безопасности, настройку операционных систем с помощью базовых средств безопасности производителя или отрасли, защиту неактивных и передаваемых данных, а также интеграцию рекомендаций по обеспечению безопасности в процессы разработки и DevOps.

Reduce the attack surface

Стратегические инициативы в процессе внедрения

Для реализации этой стратегии требуются четыре дополнительные инициативы, для каждой из которых определены четкие результаты и критерии успеха.

  1. Комплексная безопасность сеансов. Устанавливает явную проверку по принципу "Никому не доверяй" для привилегированных сеансов, сеансов пользователей и авторизованных путей повышения привилегий.
    1. Критерии успеха: каждый сеанс будет проверять, является ли каждая учетная запись пользователя и устройство доверенными на достаточном уровне, прежде чем разрешить доступ.
  2. Защита и мониторинг систем удостоверений, включая каталоги, управление удостоверениями, Администратор учетные записи, предоставление согласия и многое другое
    1. Критерии успеха: каждая из этих систем будет защищена на уровне, соответствующем потенциальному воздействию на бизнес учетных записей, размещенных на нем.
  3. Устранение рисков бокового обхода для защиты от бокового обхода с помощью паролей локальных учетных записей, паролей учетной записи службы или других секретов
    1. Критерии успеха: компрометация одного устройства не обеспечивает мгновенный контроль над многими или всеми прочими устройствами в среде.
  4. Быстрое реагирование на угрозы для ограничения доступа к злоумышленникам и времени в среде
    1. Критерии успеха: процессы реагирования на инциденты мешают злоумышленникам гарантированно выполнить многоэтапную атаку в среде, которая привела бы к утрате привилегированного доступа. (Мерой успеха является уменьшение среднего времени до устранения (MTTR) инцидентов, связанных с привилегированным доступом, практически до нуля, а также уменьшение MTTR всех инцидентов до нескольких минут, чтобы у злоумышленников не было времени на получение к привилегированного доступа.)

Следующие шаги